Мир диктует нам свои правила, и цифровая среда адаптируется под его изменения. Глобализация открыла перспективы удаленной работы для сотрудников, а пандемия превратила этот тренд в необходимость не только для компаний, которые находятся на пике технологий, но и для большей части бизнеса в мире. Организации, которые не успели адаптироваться к новым реалиям, оказались в аутсайдерах.
При этом вопросы обеспечения безопасности стали еще более острыми. Тем более что в кризис они отходят на второй план, а злоумышленники прекрасно понимают, что вынужденные временные решения по удаленному доступу, внедренные без должного внимания к организации их защиты, для многих компаний могут остаться постоянными, и это их слабое место.
Именно поэтому сейчас крайне важно перейти на полноценное решение по защите удаленного доступа. И так как критерии выбора у каждого предприятия свои (кому-то важно наличие дополнительных функций защиты, кому-то – сертификации), то для выбора подходящего инструмента мы предоставляем подробное сравнение популярных в корпоративной среде продуктов по удаленному доступу (Таблица 1).
Таблица 1
| Критерий | Cisco Any Connect | Palo Alto GlobalProtect | FortiNet FortiClient | Check Point Endpoint Security | Континент АПКШ | VipNet | S-terra | UserGate |
| Полноценный IPSEC VPN клиент и используемая технология VPN | Windows MAC Linux | Windows MAC Linux | Windows MAC Linux | Windows MAC Linux | Windows Linux | Windows MAC Linux | Windows Linux | Используется L2TP/IPSec |
| русскоязычный интерфейс ПО пользователя | нет (ограничено) | нет | нет | да | да | да | да | Да |
| Доступны аппаратная, виртуальная реализации криптошлюза | да | да | да | да | нет, только аппаратная | да | да | Да. Поддерживаются основные гипервизоры (Hyper-V, VMWare, VirtualBox, XEN, KVM) |
| проверка клиента на соответствие политикам безопасности (наличие обновлений, антивируса итд) | да (с доп. средствами вендора) | да | да | да | нет | нет | нет | Нет |
| Поддержка функции Split Tunnel — вариант маршрутизации не всего трафика в туннель | да | да | да | да | да | да | да | Да. Для Windows нативно, для других платформ — через настройку клиента |
| поддержка L2TP (для подключения нативным клиентом ОС Windows,MAC, Android, iOS и только функции VPN) | да | нет | да | да | нет | нет | нет | Да |
| поддержка режима VPN через SSL/TLS (для доступности VPN из фильтруемых сетей) | да | да | да | да | доступно через отдельные решения ГОСТ TLS | Да, в функционале веб-портал | ||
| поддержка фильтрации трафика (МЭ) на уровне ПО VPN клиента | да | нет (для этого используется отдельное решение вендора (Traps/Cortex) | да | да | да | нет | нет | Не применимо |
| Web application type based policy внутри VPN туннеля (исключить youtube итд) или Per App VPN | да | да | да | да | нет | нет | нет | Фильтрация трафика и приложений на уровне шлюза, в том числе и на L7. На клиенте — нет |
| Встроенные в клиент дополнительные функции защиты: | нет (частично доступны с интеграцией с Cisco AMP) | нет (для этого используется отдельное решение вендора (Traps/Cortex) | да | да | нет | ограниченно | нет | Не применимо |
| — антивирусной защиты, | доступно с интеграцией с Cisco AMP | нет | да | да | нет | нет | нет | Не применимо |
| — шифрования данных при хранении на жестком диске | нет | нет | нет | да | нет | да | нет | Не применимо |
| — контроля и защиты внешних устройств | нет | нет | да | да | нет | да | нет | Не применимо |
| — криптографически защищенная почта | нет | нет | нет | да (мобильный вариант песочницы Capsule Workspace) | нет | да | нет | Не применимо |
| Обратный RDP до клиента (для тех.поддержки) | да | да | да | да | да | да | да | Да |
| наличие у производителя клиента для мобильных устройств (Android, iOS) | да | да | да | да (Capsule) | да | да | нет | Поддерживаются встроенные в мобильные ОС клиенты |
| Много факторная аутентификация при подключении (Х.509, токены, интеграции с каталогами LDAP, Radius итд) | да | да | да | да | да (рутокен, eTocken, Jakarta, Esmart) | да (рутокен, eTocken, Jakarta, Esmart) | да (рутокен, eTocken, Jakarta) | TOTP через SMS |
| Поддержка одноразовых паролей на уровне криптографического шлюза | нет | нет | нет | да (one-time pass -код генератор) | нет | нет | нет | Да |
| SSL портал для доступа к Web-приложения компании | да | да | да | да | Есть вариант TLS-шлюзов | Да | ||
| ГОСТ VPN | нет | нет | да (с КритоПро с ограничениями) | да (с КритоПро с ограничениями) | да | да | да | Нет |
| ГОСТ SSL VPN | нет | нет | нет | нет | да | да | да | В версии 6.х |
| сертификация ФСТЭК | нет | нет | нет | да | да | да | да | Да |
| сертификация ФСБ | нет | нет | нет | нет | да | да | да | Нет |
| Интеграция с агентами песочницы производителя | да (Cisco AMP + Threadgrid) | да (Traps + Wildfire) | да | да (CheckPoint Sandblast) | нет | нет | нет | Через ICAP |
| кластеризация шлюза Active-Standby | да | да | да | да | да | да | да | Да |
| кластеризация шлюза Active-Active | да | да | да | да | нет | нет | нет | Да |
| интеграция с облачными платформами (Amazon AWS, MS Azure, и др) | да (Cisco CSR 1000) | да | да | да | нет | с ограничениями | нет | Да |
| функция роуминга для мобильного VPN — переподключение при разрыве соединения | да | да | да | да | нет | нет | нет | Да |
В целом все решения сейчас реализуют основной функционал, имеют возможности интеграции с SIEM-системами и встроенные средства мониторинга. Существуют нюансы в технических реализациях и поддерживаемых функциях (например, защита DNS), различия в моделях лицензирования. Так, ПО VPN клиента отдельного производителя хорошо интегрируется с существующими решениями по защите этого же производителя: Cisco AnyConnect интегрируется с Cisco ISE и имеет полноценную поддержку 802.1х, а VipNet имеет отдельный клиент для защиты почтового трафика по алгоритмам ГОСТ – VipNet «Деловая почта». В основном реализации российских вендоров и зарубежных по основным критериям имеют схожий функционал. И выбор между решениями можно сделать на основе уже существующего в компании комплекса сетевой защиты, требуемой производительности, технических деталей, факторов удобства администрирования, наличия персонала, технической поддержки и т. д.
Автор: Анна Михайлова, системный архитектор группы компаний Angara.
